San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。

AIと機械学習はAPI悪用の新たな舞台 ―― Wallarmの新レポートによる見解

May 1, 2024

調査結果から、NVIDIAのTriton Inference Serverなどの新しいAI関連の開発・インフラ製品におけるAPI脆弱性の急増と、Mercedes-Benzなど主要ブランドに影響するAPIインシデントが明らかになった

SAN FRANCISCO--(BUSINESS WIRE)--Wallarmは、エンドツーエンドのAPIとアプリセキュリティをリードする企業として、本日「Q1 API ThreatStats™2024 Report」を発表しました。この四半期レポートでは、NVIDIAのTriton Inference ServerやZenML、HailなどのAIインフラ製品のAPIを狙う高度なサイバー脅威が大きく増加していることを示しています。また、世界最大規模の企業における重大なAPI侵害事例や、絶えず進化する攻撃に先手を打つ高度なサイバーセキュリティ対策の重要性を強調しています。

AIの隠れた欠陥:なぜAPIが真の脅威なのか

この新レポートでは、新しいAI開発スタックに関連するAPI攻撃への懸念が高まっていることが取り上げられています。多くの組織がAIやLLMを使った新機能を導入している中、AI製品やツールはさらにAPIに依存するようになり、新たで深刻なAPIセキュリティリスクにさらされる傾向が高まっています。多くの企業がプロンプトインジェクションなどの新しいLLMの脅威に注目する一方で、こうしたAPIリスクは見落とされやすいのが実情です。

たとえば、ZenML――エアバスやGoodyearなど数多くのトップ企業がMLOpsワークフローを標準化するために利用するプラットフォーム――では、重大なAPI脆弱性が見つかり、攻撃者がZenMLアカウントに不正アクセスできる状態でした。また、NVIDIAのTriton Inference Server――多岐にわたるワークロードでAIモデルのデプロイと実行を標準化するソリューション――にも、不正なパストラバーサルを許すAPI脆弱性があり、コードの実行やデータの改ざんといった被害が生じる可能性がありました。

最も脆弱なアプリやベンダースイートこそ、多くのユーザーに使われている現実

今四半期のレポートで注目すべきもう一つのポイントは、広く使われているエンタープライズベンダーに対する高い注目を集めるAPI攻撃です。実際、Q1に発見されたAPIの脅威の43%は人気の高いエンタープライズアプリに関連するものでした。これらの脅威により大規模企業で大幅な情報流出が発生し、何百万もの機密情報が流出する場合もあります。また、被害の事実が明らかになるまでに時間がかかるケースも珍しくありません。

DevOpsやDevToolsも攻撃者による別の経路となっています。レポートによると、API脆弱性は一般的に利用されるDevOpsツール全体に及び、DevOpsツールと開発フレームワークが全体の42.6%を占めています。

APIリークは依然として主要な脅威の一つ

Mercedes-Benzでは2023年9月からAPIリークが発生していましたが、実際に発見されたのは2024年1月でした。従業員のGitHubトークンが漏えいしたことにより、自社のGitHub Enterpriseアカウントに不正アクセスされ、ソースコードやデータベース、クラウドプロバイダのキー、内部ドキュメントなどが漏えいした可能性があります。このソースコードを入手した攻撃者は、セキュリティの弱点を詳細に分析して攻撃につなげる恐れがあります。

「AI製品がAPIにますます依存することは、強みである一方で、大きな脆弱性にもなります。こうしたテクノロジーの導入スピードは、それを守るための既存のセキュリティ対策をはるかに上回っており、深刻なリスクを生み出しています。そしてレポートによると、世界のトップ企業から信頼を得ているエンタープライズベンダーであっても、完全に安全とは言い切れません」と、GigaOm Radar report for API Securityでリーダーに選出されたWallarmのCEO、Ivan Novikovは述べています。

「最新のThreatStatsレポートは、これらのセキュリティ課題に迅速に対処する必要性を強調し、CISOがAIを活用する環境の複雑さを乗り越えるためのロードマップを示しています。さらに、脅威が急激に進化する今、Wallarmのようにプロアクティブなサイバーセキュリティを提供するパートナーが欠かせないことも示唆しています」とNovikovは続けています。

APIやAIに関連した脆弱性が拡大している状況は、すべての業界にとって、こうしたリスクを十分に理解し、絶えず変化する高度な攻撃に対応できる包括的なセキュリティ対策を導入する必要性を示しています。レポートでは、バランスの取れた攻撃対策を構築するために、APIおよびAIのセキュリティを経営レベルの最優先事項とし、API脆弱性が事業や収益に与える影響を明確に示すこと、そしてAPIディスカバリーやAPIリーク管理、重大な脅威への即時対処を行う統合APIセキュリティソリューションへの投資を推奨しています。

Q1 API ThreatStats™2024 Reportの全文は以下でご確認ください: https://www.wallarm.com/resources/api-threatstats-tm-report-q1-2024.

貴社のAPIを守る準備はできましたか?

Wallarmは、迅速な開発と安全な運用を実現するために、貴社をサポートします。

プロダクトツアーデモを受ける